Phishing-Angriffe werden immer raffinierter: Gefälschte Banking-Seiten, täuschend echte Nachrichten und gezieltes Social Engineering führen dazu, dass Bankkunden ihre Zugangsdaten preisgeben – mit teils verheerenden Folgen für das Konto. Bisher blieben Betroffene häufig auf dem Schaden sitzen bei unberechtigten Kontoabbuchungen, weil Banken die Erstattung mit dem Verweis auf grobe Fahrlässigkeit der Kunden verweigerten. Ein aktueller Schlussantrag des Generalanwalts beim Europäischen Gerichtshof (EuGH) könnte dieses Kräfteverhältnis grundlegend verschieben.

Was ist ein nicht autorisierter Zahlungsvorgang?

Von einer unberechtigten Kontoabbuchung spricht man rechtlich dann, wenn ein Zahlungsvorgang ohne Zustimmung des Kontoinhabers durchgeführt worden ist. Die gesetzliche Grundlage hierfür bildet § 675u BGB: Danach ist die kontoführende Bank bei einem nicht autorisierten Zahlungsvorgang grundsätzlich verpflichtet, den abgebuchten Betrag unverzüglich zu erstatten.

In der Praxis tritt dieser Fall vor allem beim sogenannten Phishing auf. Dabei täuschen Betrüger Bankkunden durch gefälschte E-Mails, SMS oder Websites – sogenannte Fake-Login-Seiten –, um an Zugangsdaten und Transaktionsnummern (TANs) zu gelangen. Eine besonders verbreitete Variante ist das sogenannte „Spoofing“, bei dem Anrufnummern bekannter Banken oder Behörden gefälscht werden, um das Vertrauen der Betroffenen zu erschleichen. Auch der Missbrauch von mobilen Bezahldiensten wie Apple Pay oder Google Pay ist ein häufiges Schadensbild: Kriminelle richten diese Dienste mit gestohlenen Daten auf eigenen Geräten ein und führen darüber Zahlungen aus dem Konto des Opfers durch.

Betroffen sind Kunden sämtlicher Banken – darunter die Postbank, die Deutsche Bank, Sparkassen und Volksbanken. Die Schadenssummen reichen von wenigen Hundert bis zu mehreren Zehntausend Euro pro Fall. Gemeinsam ist diesen Fällen, dass Banken die Erstattung zunächst regelmäßig verweigern.

Die aktuelle Rechtslage: Beweislast liegt bei der Bank

Das Gesetz stellt Bankkunden grundsätzlich nicht schutzlos. Nach § 675u BGB ist die Bank zur Erstattung verpflichtet, wenn ein Zahlungsvorgang nicht autorisiert wurde. Der entscheidende Schlüssel liegt in der Beweislast: Gemäß § 675w BGB muss die Bank nachweisen, dass der Zahlungsvorgang vom Kunden autorisiert wurde oder der Kunde grob fahrlässig gehandelt hat – nicht umgekehrt. Dieser Punkt wird in der Praxis häufig übersehen.

In der deutschen Rechtsprechung hat der Bundesgerichtshof (BGH) diese Linie 2025 weiter geschärft. Die Richter führten den Begriff des „Augenblicksversagens“ ein: Nicht jede Weitergabe einer TAN unter Druck ist automatisch grob fahrlässig, wenn der Kunde durch gezieltes Social Engineering so manipuliert wurde, dass rationales Handeln kurzfristig aussetzte. Allerdings gilt das nur einmalig – wer an aufeinanderfolgenden Tagen Transaktionsnummern herausgibt, kann sich darauf nicht mehr berufen.

Gleichzeitig entschied das OLG Oldenburg im April 2025, dass das Freigeben einer „Geräteregistrierung“ ohne genaue Prüfung des Nachrichtentextes als grob fahrlässig zu werten ist. Das OLG Dresden hingegen verpflichtete in einem anderen Fall eine Sparkasse, einen Teil des Schadens selbst zu tragen – trotz grob fahrlässigen Verhaltens des Kunden –, weil die Bank ihre eigenen Sicherheitssysteme nicht ausreichend eingesetzt hatte.

Die Rechtslage ist also nicht einheitlich, zeigt aber eine klare Tendenz: Der bloße Vorwurf der groben Fahrlässigkeit genügt nicht. Die Bank muss konkret nachweisen, wie und weshalb der Kunde den Schaden verursacht hat. Dieser Nachweis gelingt ihr in der Praxis keineswegs immer.

Der Schlussantrag des Generalanwalts beim EuGH – ein möglicher Paradigmenwechsel

Am 5. März 2026 hat Generalanwalt Athanasios Rantos beim Europäischen Gerichtshof seinen Schlussantrag in der Rechtssache C-70/25 vorgelegt. Der zugrunde liegende Fall betrifft eine polnische Bankkundin, die über eine gefälschte Auktionsplattform auf eine nachgebaute Banking-Seite gelockt wurde. Dort gab sie ihre Zugangsdaten ein; Betrüger führten daraufhin unautorisierte Überweisungen von ihrem Konto durch. Die Bank verweigerte die Erstattung – mit dem Verweis auf grobe Fahrlässigkeit der Kundin.

Der Generalanwalt analysierte die einschlägigen Vorschriften der EU-Zahlungsdiensterichtlinie PSD2 (Richtlinie 2015/2366) und kam zu einem klaren Ergebnis: Die Bank ist nach Unionsrecht verpflichtet, den Betrag eines nicht autorisierten Zahlungsvorgangs zunächst unverzüglich zu erstatten – spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnisnahme. Eine Ausnahme besteht nur, wenn die Bank begründete Anhaltspunkte für einen Betrug durch den Kunden selbst hat und dies schriftlich der zuständigen nationalen Behörde mitteilt. Der bloße Verweis auf grobe Fahrlässigkeit des Kunden reicht für eine Verweigerung ausdrücklich nicht aus.

Das Entscheidende dabei: Der Schlussantrag trennt zwei voneinander unabhängige Phasen. In der ersten Phase muss die Bank erstatten. Erst in einer zweiten Phase kann sie nachweisen, dass der Kunde vorsätzlich oder grob fahrlässig gehandelt hat – und das Geld anschließend gerichtlich zurückfordern. Diese Umkehrung ist der eigentliche Paradigmenwechsel: Nicht mehr der Kunde muss jahrelang um sein Geld kämpfen, sondern die Bank muss ihrem Geld hinterherlaufen.

Ein Schlussantrag des Generalanwalts ist noch kein Urteil; der EuGH ist daran nicht gebunden. In der Praxis folgt das Gericht diesen Empfehlungen allerdings in der großen Mehrheit der Fälle. Das endgültige Urteil wird für das Jahr 2026 erwartet.

Bisherige Praxis der Banken – warum Betroffene oft leer ausgehen

In der gelebten Praxis verweigern Banken die Erstattung nach Phishing-Angriffen häufig pauschal. Das Standardargument lautet: Der Kunde habe durch Preisgabe seiner Zugangsdaten, TAN-Eingabe auf einer gefälschten Seite oder das Freigeben einer Push-Benachrichtigung grob fahrlässig gehandelt. Damit wälzen die Banken das wirtschaftliche und rechtliche Risiko vollständig auf den Kunden ab – ohne den nach § 675w BGB eigentlich erforderlichen konkreten Nachweis zu erbringen.

Besondere Aufmerksamkeit hat in den letzten Jahren die Postbank erhalten. Das Institut war unter anderem von einem umfangreichen Datenleck betroffen, das Kontodaten zahlreicher Kunden in die Hände von Betrügern gelangen ließ. Betroffene sahen sich trotzdem mit pauschalen Erstattungsverweigerungen konfrontiert. Diese Praxis ist symptomatisch für die Branche insgesamt.

Das strukturelle Problem dabei: Solange Kunden ihr Geld selbst einklagen müssen, kalkulieren die Institute damit, dass die wenigsten Betroffenen tatsächlich den Weg vor Gericht gehen – aus Kostengründen, fehlender Rechtskenntnisse oder schlichter Resignation. Wenn künftig aber die Bank klagen muss, trägt sie das Prozesskostenrisiko. Das verändert die Anreizstruktur für beide Seiten erheblich.

Was bedeutet der Schlussantrag für Betroffene bei unberechtigten Kontoabbuchungen?

Auch wenn das endgültige EuGH-Urteil noch aussteht, haben Betroffene bereits heute stärkere Positionen als in der Vergangenheit. Der Schlussantrag des Generalanwalts kann in der Korrespondenz mit der Bank und in außergerichtlichen Auseinandersetzungen als aktuelle Argumentationslinie eingesetzt werden. Viele Institute dürften bereit sein, einer einvernehmlichen Lösung zuzustimmen, wenn sich die europäische Rechtslage zu ihren Ungunsten entwickelt.

Konkret gilt: Wer von einer unberechtigten Abbuchung betroffen ist, sollte die Bank unverzüglich – in jedem Fall innerhalb von 13 Monaten nach Belastung des Kontos – schriftlich über den Vorfall informieren und die Erstattung ausdrücklich verlangen. Gleichzeitig empfiehlt sich eine Strafanzeige gegen Unbekannt. Die gesamte Korrespondenz mit der Bank sollte sorgfältig dokumentiert werden.

Bereits abgelehnte Fälle sollten nicht voreilig abgeschlossen werden. Mit Blick auf das erwartete EuGH-Urteil könnten auch zurückliegende Erstattungsverweigerungen neu bewertet werden – insbesondere wenn die Ablehnung allein mit dem Argument der groben Fahrlässigkeit begründet wurde und die Bank den erforderlichen konkreten Nachweis schuldig geblieben ist.

Für Fälle mit Apple Pay oder Google Pay gilt dies in besonderem Maße: Banken haben diese Dienste häufig pauschal als vom Kunden veranlasst eingestuft – eine Praxis, die mit den Grundsätzen des Generalanwalts schwer zu vereinbaren ist.

Wann lohnt sich anwaltliche Unterstützung?

Sobald eine Bank die Erstattung einer unberechtigten Abbuchung verweigert, lohnt die Einschaltung eines auf Bank- und Kapitalmarktrecht spezialisierten Rechtsanwalts. Das gilt insbesondere bei Schadensbeträgen ab einigen Tausend Euro, bei denen das Kosten-Nutzen-Verhältnis einer rechtlichen Prüfung günstig ausfällt.

Ein erfahrener Anwalt prüft zunächst, ob die Bank ihrer Darlegungspflicht nach § 675w BGB tatsächlich nachgekommen ist. Häufig sind die Begründungen der Banken lückenhaft oder juristisch nicht tragfähig. Hinzu kommt die Möglichkeit, den aktuellen Schlussantrag des Generalanwalts beim EuGH als Argumentationshilfe im außergerichtlichen Schreiben einzubeziehen.

Die Kanzlei MÜLLER SEIDEL VOS verfügt über langjährige Erfahrung in der Durchsetzung von Ansprüchen gegenüber Banken und Finanzinstituten. Betroffene können sich für eine erste Einschätzung direkt an die Kanzlei wenden. Weitere Informationen zu Ihren Rechten bei unberechtigten Kontoabbuchungen finden Sie hier.

Unberechtigte Kontoabbuchung – Ansprüche gegen die Bank jetzt prüfen lassen

Wer von Phishing oder Kontomissbrauch betroffen ist, steht dem nicht schutzlos gegenüber. Das deutsche Recht stellt mit § 675u und § 675w BGB bereits heute ein Instrumentarium zur Verfügung, das die Beweislast bei der Bank verortet. Die aktuelle Rechtsprechung des BGH und der Oberlandesgerichte zeigt, dass grobe Fahrlässigkeit im Einzelfall sorgfältig geprüft werden muss – und nicht pauschal angenommen werden darf.

Der Schlussantrag des Generalanwalts beim EuGH (C-70/25) geht noch einen Schritt weiter: Sollte der EuGH dieser Empfehlung folgen, müssen Banken künftig zunächst erstatten und sich das Geld gegebenenfalls gerichtlich zurückholen. Das kehrt das bisherige Kräfteverhältnis um und stärkt die Rechte der Betroffenen erheblich.

Wer von seiner Bank mit dem pauschalen Verweis auf grobe Fahrlässigkeit abgespeist wurde, sollte seinen Fall jetzt rechtlich prüfen lassen – und nicht abwarten, bis Fristen ablaufen.

MÜLLER SEIDEL VOS Rechtsanwälte Steuerberater ist eine auf das Bank- und Kapitalmarktrecht, das Versicherungsrecht, das Steuerrecht sowie auf das Verbraucherrecht spezialisierte Kanzlei. Bei Fragen zu unberechtigten Kontoabbuchungen und Ihren Erstattungsansprüchen gegenüber Ihrer Bank nehmen Sie gerne Kontakt auf.